Qual è in realtà lo scopo di crittografare i valori in un cookie?

1

Stavo facendo ricerche sulla sicurezza di Internet. Quando ho raggiunto la sezione Cookie, mi è capitato di leggere che i valori contenuti in un cookie sono generalmente memorizzati solo dopo averli crittografati. Ma una crittografia può essere facilmente decifrata da qualcuno che può manomettere i cookie. Considerando il fatto che se abbiamo alterato il cookie, quindi se è crittografato o meno, è possibile accedere alla sessione corrispondente a quel cookie. Allora qual è in realtà lo scopo di crittografare il cookie?

    
posta Anandu M Das 15.09.2014 - 09:37
fonte

2 risposte

9

Se la chiave di crittografia è archiviata sul server, solo il server può decodificare il cookie e solo il server può apportare modifiche prevedibili al cookie. Un utente malintenzionato può apportare modifiche al testo cifrato del cookie, ma non può sapere in anticipo quale effetto avranno tali modifiche. Se il cookie include inoltre un codice di autenticazione dei messaggi o un'altra misura anti-manomissione, allora un utente malintenzionato non può apportare modifiche a un cookie crittografato senza invalidarlo.

La crittografia del cookie impedisce anche all'utente e ad altri sullo stesso computer di essere in grado di vedere quali informazioni vengono memorizzate. Ciò consente al server di associare informazioni sensibili a un utente (ad esempio, "accedi automaticamente" alle informazioni), senza dover monitorare la sessione lato server.

La crittografia dei cookie non fa in modo che gli attacchi di furto di cookie vengano utilizzati per impersonare un utente; per difenderci, sono necessarie altre misure.

    
risposta data 15.09.2014 - 09:58
fonte
0

I cookie possono essere utilizzati per una serie di motivi. Al livello più semplice potrebbe contenere un numero casuale che consiglia al sito di essere la stessa persona visitata in precedenza, a scopo di monitoraggio o per fornire funzionalità avanzate quali le preferenze dell'utente. Tali cookie non devono essere crittografati.

I cookie crittografati vengono utilizzati quando si desidera mantenere qualcosa lato client che non si desidera modificare e / o vedere da un utente. Ad esempio, al completamento di un processo di autenticazione, verrà impostato un cookie crittografato contenente i dettagli dell'utente da presentare a ciascuna richiesta successiva. Questo è ciò che fornisce l'aspetto di una "sessione connessa" quando in realtà il browser sta effettuando una serie di richieste atomiche altrimenti non correlate. Nella maggior parte dei siti Web di grandi dimensioni questa gestione sessione autenticata viene gestita da servizi di infrastruttura front-end che nascondono questa complessità dallo sviluppatore dell'applicazione.

Il cookie può anche essere usato per contenere lo stato attuale dell'applicazione, che è utile se l'applicazione viene eseguita su più siti geografici e si prevede che l'utente ritorni a un altro sito prima di avere la possibilità di replicare i dati lì.

Per quanto riguarda l'ultimo punto, se si manomettono i dati crittografati, lo si renderà quasi sempre inutile per lo scopo per il quale è stato concepito. A seconda dell'applicazione, causerà il fallimento dell'applicazione server o la convalida dei dati crittografati.

    
risposta data 15.09.2014 - 14:35
fonte

Leggi altre domande sui tag